今号は3本を取り上げます。5月13日公開のMicrosoft月例パッチに、メールを「読むだけ」で攻撃が成立するOutlookゼロクリック脆弱性(CVE-2026-40361)が含まれており、早急なWindows Update適用が必要です。また、マネーフォワードのGitHubへの不正アクセスでビジネスカード情報370件が流出した可能性があり、GitHubやクラウドサービスの認証情報管理の見直しが求められます。Adobe Acrobat/Readerにも任意コード実行の脆弱性が修正されています。
NEWS 01
JPCERT/CC・IPA | 2026年5月13日(at260012)
Microsoft5月月例パッチに「メール閲覧だけで侵害」のOutlookゼロクリック脆弱性
【緊急度:高】 今月の更新には悪用可能性が高い脆弱性が含まれます。Windows Updateを週内に実行してください。
Microsoftは2026年5月13日(日本時間)、月例セキュリティ更新プログラムを公開しました。CVEベースで137件の脆弱性に対応しており、うち30件が最高深刻度「緊急」に分類されています(出典:マイナビニュース、窓の杜)。
今回の更新で特に注意が必要なのが CVE-2026-40361(Microsoft Word / Outlook共有DLLのゼロクリックRCE)です。OutlookとWordが共通利用するDLLに存在するUse-After-Free型の脆弱性で、受信メールを開封またはプレビュー表示するだけで攻撃コードが実行される可能性があります。添付ファイルのクリックや特定の操作は不要で、標的に一通のメールを送るだけで侵害できます。MicrosoftはCVSSスコア8.4(High)を付与し、「悪用される可能性が高い(Exploitation More Likely)」と評価しています。
セキュリティ研究者のHaifei Li氏がExpmonシステムで発見・報告した本脆弱性は、2013年に発見された「BadWinmail」と類似した構造を持ちます。企業の意思決定者(CEO・CFO等)をターゲットにした標的型攻撃への悪用が懸念されており、企業ファイアウォールを迂回してメール受信箱に直接到達できる点で対策が困難です。
その他の注目CVEとして、Windows Netlogonのリモートコード実行(CVE-2026-41089、CVSS 9.8)、Windows DNS Clientのリモートコード実行(CVE-2026-41096、CVSS 9.8)、Microsoft Dynamics 365 オンプレミスのRCE(CVE-2026-42898、CVSS 9.8)が含まれます。いずれも認証不要で悪用可能とされています。
| CVE番号 |
製品 |
種別 |
CVSS |
備考 |
| CVE-2026-40361 |
Outlook / Word(共有DLL) |
ゼロクリックRCE |
8.4 |
悪用可能性:高。メール閲覧だけで実行 |
| CVE-2026-41089 |
Windows Netlogon |
リモートコード実行 |
9.8 |
認証不要。ドメイン環境で影響大 |
| CVE-2026-41096 |
Windows DNS Client |
リモートコード実行 |
9.8 |
認証不要。ネットワーク経由で悪用 |
| CVE-2026-42898 |
Dynamics 365(オンプレ) |
リモートコード実行 |
9.8 |
認証不要。該当製品使用組織は優先対応 |
▌中小企業への影響
メールクライアントとしてOutlookを利用している企業はすべて影響を受けます。特にWindowsの自動更新を無効にしているPC、または社内に管理者不在の端末がある場合は侵害リスクが高まります。Netlogon・DNS ClientのCVSSスコア9.8の脆弱性は、社内Windowsサーバーを運用している中小企業も対象です。
▌推奨対応(今週中に実施)
- 全社PCのWindows Updateを実行し、2026年5月の月例パッチが適用済みであることを確認する(設定→Windows Update→更新プログラムの確認)
- Microsoft 365 Apps(Word・Outlook等)は自動更新の対象だが、念のためOfficeアプリケーション→アカウント→今すぐ更新で最新版を確認する
- CVE-2026-40361の緩和策として、Outlookで受信メールの表示形式を「テキスト形式」に変更すると攻撃リスクを低減できる(ファイル→オプション→メール→メッセージの形式)
- WindowsサーバーでNetlogonやDNS Clientを使用している場合は、サーバー側パッチを優先適用する
- Dynamics 365オンプレミスを運用している場合は、インターネットからのアクセスを一時制限しつつパッチ適用を進める
NEWS 02
マネーフォワード | 2026年5月1日公表(5月11日追記)
マネーフォワードのGitHubに不正アクセス、ビジネスカード情報370件流出の可能性
株式会社マネーフォワードは2026年5月1日、同社が利用するソースコード管理サービス「GitHub」への不正アクセスが発生したと公表しました。GitHubの認証情報が外部に漏えいし、それを使った第三者がリポジトリにアクセスしてソースコードをコピーした可能性があります(出典:株式会社マネーフォワード公式発表)。
調査の結果、グループ会社のマネーフォワードケッサイ株式会社が提供する「マネーフォワード ビジネスカード」のカード保持者名(アルファベット)およびカード番号の下4桁が、最大370件分流出した可能性があることが判明しました。クレジットカード番号の全桁・有効期限・CVVコードの流出は確認されていないと報告されています。
同社は被害の拡大を防ぐため、銀行口座連携機能(「マネーフォワード ME」等)を一時停止しました。5月11日の追記時点では認証情報の無効化・再発行がほぼ完了し、安全確認が取れた機能から順次再開しています。本事案はGitHub等の開発インフラに保存・設定された認証情報が漏えいするサプライチェーン型の攻撃パターンであり、ITサービスを利用する企業にとっても同様のリスクが存在します。
▌中小企業への影響
マネーフォワードのビジネスカードや家計簿サービスを利用している企業・個人は、カード明細の不審な取引がないか確認が必要です。また本事案は、SaaS・クラウドサービスの認証情報(APIキー、アクセストークン、パスワード)を適切に管理していない企業にも同様の事故が起きうることを示しています。開発担当者がいる企業では、GitHubやAWSなどのシークレット管理の状況を今一度点検してください。
▌推奨対応
- マネーフォワード ビジネスカードの利用者は、カード明細を確認し不審な取引があればカード会社に連絡する
- マネーフォワード MEの口座連携機能を利用している場合は、再開案内メールを待ち、改めてパスワードを変更する
- 社内でGitHubやクラウドサービスを使用している場合、APIキー・アクセストークンがコードやログに直接書き込まれていないか確認する(GitHub Secretスキャン機能の活用を検討する)
- 使用しなくなったAPIキー・アクセストークンは速やかに無効化・削除する
- サービス提供事業者(マネーフォワード)からの公式案内をメール・サポートサイトで確認し、指示に従う
NEWS 03
JPCERT/CC | 2026年5月13日(at260011 / APSB26-44)
Adobe Acrobat/Readerに任意コード実行の脆弱性、最新版へのアップデートを
JPCERTコーディネーションセンターは2026年5月13日、Adobe Acrobat および Adobe Reader に関する注意喚起(at260011)を公表しました。対象はセキュリティ情報 APSB26-44 で、WindowsおよびmacOS向けの Adobe Acrobat DC(Continuous)と Adobe Acrobat 2024(Classic)が影響を受けます。
修正された主な脆弱性は以下の2件です。CVE-2026-34622(CVSS 8.6)はオブジェクトプロトタイプ属性の不適切な制御(プロトタイプ汚染)に起因する任意コード実行の脆弱性で、深刻度は「緊急」に分類されます。CVE-2026-34626(CVSS 6.3)はファイルシステムへの不正な読み取りを可能にする脆弱性で、深刻度は「重要」です。Adobeは公表時点でいずれも野放し(実環境での悪用)は確認していないと述べていますが、PDFはビジネス文書として広く流通しており、攻撃に利用されるリスクは高い状況です。
影響を受けるバージョンは、Adobe Acrobat DC Continuous 26.001.21411 以前、Adobe Acrobat 2024 Classic(Windows)24.001.30362 以前です。修正済みバージョンはAcrobat DC 26.001.21431、Acrobat 2024 Classic 24.001.30365 です。
▌中小企業への影響
PDFの作成・編集にAdobe Acrobatを使用している企業は影響を受けます。Adobe Reader(閲覧のみ)も対象です。脆弱なバージョンのAcrobatで悪意のあるPDFを開いた場合、システムが侵害される可能性があります。取引先から受け取ったPDFを開く業務フローがある場合は特に注意が必要です。
▌推奨対応
- Adobe Acrobat / Adobe Readerを起動し、ヘルプ→アップデートの有無をチェック から最新版への更新を実行する
- Adobe Creative Cloudを使用している場合は、Creative Cloudデスクトップアプリからアップデートを確認する
- 複数台のPCにAcrobatを導入している場合は、全端末でバージョンを確認する(ヘルプ→Adobe Acrobat Readerについて)
- 業務上PDFを頻繁に受け取る場合、送信元が不明なPDFは安易に開かず、ウイルス対策ソフトでスキャンしてから開く習慣をつける
編集部まとめ
今号最大の注意点はMicrosoftのOutlookゼロクリック脆弱性です。メールの閲覧だけで端末が侵害されるリスクは従来の標的型攻撃より対策が難しく、唯一の根本対策はパッチ適用です。マネーフォワードのGitHub不正アクセス事案は、認証情報の流出がサービス停止・顧客情報漏えいに直結することを改めて示しました。今週はWindows UpdateとAcrobatの更新を最優先で実施してください。
参考情報(出典)
secure